El periodista e investigador alemán Hanno Böck ha analizado tres populares productos antivirus
y determinó que cada uno de ellos tiene
vulnerabilidades que, dada
ciertas circunstancias, permitirían interceptar tráfico HTTPS.
Böck se hizo conocido febrero pasado después de darse a conocer que Lenovo había instalado el adware Superfish en sus portátiles. Böck reveló entonces que Privdog, una herramienta promovida por Comodo,
"era peor que Superfish".
Ahora, el experto ha analizado el impacto de ataques
MitM sobre
HTTPS en tres productos
antivirus -Avast, ESET y Kaspersky Lab-,
sustituyendo el certificado SSL con un certificado raíz instalado en el
sistema del usuario.
Tras informes de vulnerabilidades TLS como BEST, Lucky 13 y FREAK,
las organizaciones han empezado a prestar más atención a la seguridad
HTTPS. Sin embargo, muchos productos, incluyendo
antivirus, todavía
exponen a sus usuarios a estos ataques, a través de la manipulación
inadecuada de las conexiones TLS.
Según Böck, ninguno de los tres productos ha activado la extensión
Public Key Pinning Extension for HTTP (HPKP),
una característica de seguridad diseñada para prevenir los ataques MitM
aprovechando certificados falsificados e instruyendo el cliente para
asociar una clave criptográfica a un determinado servidor web.
El investigador informó que producto de Kaspersky es vulnerable a ataques FREAK, en el que un atacante puede forzar a sus clientes
(downgrade)
a utilizar el cifrado más débil, EXPORT RSA. Esto puede ser
problemático teniendo en cuenta que Kaspersky intercepta tráfico HTTPS
por defecto para los sitios web que monitorea. Kaspersky además activa
la compresión TLS lo que lo hace vulnerables a ataques del tipo CRIME.
ESET, por su parte no soporta TLS 1.2 y por lo tanto utiliza algoritmos de cifrado menos seguros. Avast y ESET no admiten OCSP Stapling.
Tanto Avast y Kaspersky aceptan parámetros absurdos para intercambios
claves Diffie Hellman con un tamaño de 8 bits. Avast es especialmente
interesante porque instala extensiones en el navegador con funciones
avanzadas de HTTPS y disminuye su seguridad.
El experto señaló también que ninguno de los productos intercepta
tráfico en sitios HTTPS que utilicen certificados de validación
extendida (EV), lo cual posibilita que cualquier sitio dañino que los
utilice, no sería verificado por el
antivirus.
ESET dijo que la empresa era consciente de los temas presentados por el
investigador y que estaban trabajando en su solución. Kaspersky también
está trabajando en un parche para mitigar las
vulnerabilidades, pero la
empresa cree que es poco probable que sus clientes sean afectados los
por las mismas. Avast proporcionó una explicación detallada sobre cómo
se maneja la intercepción de tráfico HTTPS y sus planes para enfrentar
algunos de los temas que destacó por Böck.
Fuente: Security Week
